"Nieautoryzowane próby logowania" w serwisie Lotto. Ostrzeżenie dla klientów

"Informujemy, że w ostatnim czasie doszło do nieautoryzowanych prób logowania do części kont użytkowników serwisu lotto.pl, w wyniku których mogło potencjalnie nastąpić nieuprawnione uzyskanie dostępu do danych osobowych na Państwa profilu" - czytamy w wiadomości.

Jak dodano, użyte do prób logowania dane pochodzą z niezwiązanej z Totalizatorem Sportowym zewnętrznej bazy, a problem dotyczy wyłącznie osób, które używają tych samych loginów i haseł na innych portalach.

"Natychmiast po wykryciu nietypowej aktywności poinformowaliśmy grupę osób, dla której zidentyfikowano nieautoryzowane próby logowania. Był to niewielki odsetek wszystkich kont zarejestrowanych w serwisie lotto.pl" - podkreślono.

"Ze względu na fakt, że używano istniejących loginów i haseł pozyskanych z innych źródeł, nie możemy ostatecznie stwierdzić, że wykryto każde nieuprawnione logowanie, dlatego uznaliśmy za konieczne poinformowanie szerszego grona użytkowników serwisu lotto.pl" - napisano.

Dostęp do serwisu lotto.pl został zablokowany tym użytkownikom, na których kontach zostały zidentyfikowane nieautoryzowane próby logowania z możliwością odzyskania dostępu dopiero po zmianie hasła.

Serwis uruchomił też dodatkowe usługi z zakresu bezpieczeństwa serwisu, okresowo wstrzymał możliwość wypłat środków z konta gracza na rachunek bankowy oraz ograniczył możliwości zautomatyzowania ataku z poszczególnych adresów IP poprzez wdrożenie dodatkowych elementów blokujących niebezpieczny ruch.

Działania objęły też "rozszerzenie scenariuszy wykorzystania mechanizmów CAPTCHA, obejmując nimi kolejne elementy serwisu i zamaskowanie danych osobowych widocznych po zalogowaniu na profilu użytkownika".

Totalizator Sportowy zalecił, by użytkownicy, którzy wykorzystują te same hasła w innych serwisach internetowych, niezwłocznie je zmienili. "Używanie tego samego hasła dla różnych usług online może powodować, że atakujący mogą pozyskać Państwa dane w podobny sposób na innych serwisach internetowych" - zaalarmował TS.

"Należy zwrócić uwagę na to, czy w Państwa skrzynce e-mail pojawiła się korespondencja od instytucji finansowych, z którymi nie są Państwo związani. Dotyczy to w szczególności podawania danych za pośrednictwem Internetu lub przez telefon, zwłaszcza w przypadku, gdy kontakt nie jest inicjowany przez Państwa, nawet jeśli rozmówca uwiarygadnia się tym, że zna Państwa dane identyfikacyjne" - czytamy.

"Dodatkowo wskazujemy na możliwość skorzystania z zastrzeżenia dokumentu tożsamości w systemie Dokumenty Zastrzeżone (więcej informacji na www.dokumentyzastrzezone.pl) i jego wymiany. Można też zamówić w systemie BIK (Biuro Informacji Kredytowej) darmowe raporty o zmianach na Państwa koncie lub płatne szczegółowe raporty o stanie Państwa kredytów" - napisano.

Wykradzione dane mogą być wykorzystane do prób wyłudzeń lub nadużyć finansowych, np. poprzez uzyskanie przez osobę trzecią pożyczki lub kredytu. Oszuści mogą też podszyć się pod swoje ofiary, aby wyłudzić dodatkowe informacje lub zdobyć wzgląd do danych osobowych klienta.

Przestępcy mogą również zarejestrować na swoje ofiary usługi, podjąć próby zawarcia umów cywilnoprawnych czy wyłudzenia ubezpieczenia lub ukrycia swojej tożsamości, np. przy otrzymywaniu mandatu. Dane mogą również posłużyć do "wysyłki na adres e-mail lub pod numer telefonu niezamówionych wiadomości i materiałów, w tym materiałów zawierających informacje marketingowe, a także kontaktu telefonicznego w takich sprawach".

Totalizator Sportowy zaapelował, by w przypadku jakichkolwiek wątpliwości wszelkie pytania dotyczące danych osobowych kierować do Inspektora Ochrony Danych na adres mailowy iod@totalizator.pl.

Poinformował też, że związku z zaistniałą sytuacją o naruszeniu ochrony danych osobowych został poinformowany Prezes Urzędu Ochrony Danych Osobowych, CERT oraz Prokuratura.